Partage via


Rôles intégrés Azure pour les bases de données

Cet article répertorie les rôles intégrés Azure dans la catégorie Bases de données.

Intégration de SQL Server connecté à Azure

Autorise l’accès en lecture et en écriture aux ressources Azure pour SQL Server sur les serveurs avec Arc.

En savoir plus

Actions Description
Microsoft.AzureArcData/sqlServerInstances/read Récupère une ressource d’instance SQL Server
Microsoft.AzureArcData/sqlServerInstances/write Met à jour une ressource d’instance SQL Server
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Microsoft.AzureArcData service role to access the resources of Microsoft.AzureArcData stored with RPSAAS.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e8113dce-c529-4d33-91fa-e9b972617508",
  "name": "e8113dce-c529-4d33-91fa-e9b972617508",
  "permissions": [
    {
      "actions": [
        "Microsoft.AzureArcData/sqlServerInstances/read",
        "Microsoft.AzureArcData/sqlServerInstances/write"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Azure Connected SQL Server Onboarding",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Rôle de lecteur de compte Cosmos DB

Lire les données de comptes Azure Cosmos DB. Consultez Contributeur de compte DocumentDB pour en savoir plus sur la gestion des comptes Azure Cosmos DB.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.DocumentDB/*/read Lire n’importe quelle collection
Microsoft.DocumentDB/databaseAccounts/readonlykeys/action Lire les clés en lecture seule du compte de base de données.
Microsoft.Insights/MetricDefinitions/read Lire les définitions des mesures
Microsoft.Insights/Metrics/read Lire des mesures
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can read Azure Cosmos DB Accounts data",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
  "name": "fbdf93bf-df7d-467e-a4d2-9458aa1360c8",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.DocumentDB/*/read",
        "Microsoft.DocumentDB/databaseAccounts/readonlykeys/action",
        "Microsoft.Insights/MetricDefinitions/read",
        "Microsoft.Insights/Metrics/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Cosmos DB Account Reader Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Opérateur Cosmos DB

Permet de gérer des comptes Azure Cosmos DB, mais pas d’accéder aux données qu’ils contiennent. Empêche d’accéder aux clés de compte et aux chaînes de connexion.

En savoir plus

Actions Description
Microsoft.DocumentDb/databaseAccounts/*
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Joint des ressources telles qu’un compte de stockage ou une base de données SQL à un sous-réseau. Impossible à alerter.
NotActions
Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*
Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*
Microsoft.DocumentDB/databaseAccounts/regenerateKey/*
Microsoft.DocumentDB/databaseAccounts/listKeys/*
Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*
Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write Crée ou met à jour une définition de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete Supprime une définition de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write Créer ou mettre à jour une attribution de rôle SQL
Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete Supprimer une attribution de rôle SQL
Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write Créer ou mettre à jour une définition de rôle Mongo
Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete Supprimer une définition de rôle MongoDB
Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write Créer ou mettre à jour une définition de rôle MongoDB
Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete Supprimer une définition d’utilisateur MongoDB
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Azure Cosmos DB accounts, but not access data in them. Prevents access to account keys and connection strings.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/230815da-be43-4aae-9cb4-875f7bd000aa",
  "name": "230815da-be43-4aae-9cb4-875f7bd000aa",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDb/databaseAccounts/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
      ],
      "notActions": [
        "Microsoft.DocumentDB/databaseAccounts/dataTransferJobs/*",
        "Microsoft.DocumentDB/databaseAccounts/readonlyKeys/*",
        "Microsoft.DocumentDB/databaseAccounts/regenerateKey/*",
        "Microsoft.DocumentDB/databaseAccounts/listKeys/*",
        "Microsoft.DocumentDB/databaseAccounts/listConnectionStrings/*",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/write",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleDefinitions/delete",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/write",
        "Microsoft.DocumentDB/databaseAccounts/sqlRoleAssignments/delete",
        "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/write",
        "Microsoft.DocumentDB/databaseAccounts/mongodbRoleDefinitions/delete",
        "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/write",
        "Microsoft.DocumentDB/databaseAccounts/mongodbUserDefinitions/delete"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Cosmos DB Operator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

CosmosBackupOperator

Peut envoyer une requête de restauration d’une base de données Cosmos DB ou d’un conteneur pour un compte

En savoir plus

Actions Description
Microsoft.DocumentDB/databaseAccounts/backup/action Soumettre une demande pour configurer la sauvegarde
Microsoft.DocumentDB/databaseAccounts/restore/action Soumettre une demande de restauration
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can submit restore request for a Cosmos DB database or a container for an account",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
  "name": "db7b14f2-5adf-42da-9f96-f2ee17bab5cb",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDB/databaseAccounts/backup/action",
        "Microsoft.DocumentDB/databaseAccounts/restore/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CosmosBackupOperator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

CosmosRestoreOperator

Peut effectuer une action de restauration pour un compte de base de données Cosmos DB avec le mode de sauvegarde continu

Actions Description
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action Soumettre une demande de restauration
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read
Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read Lit un compte de base de données pouvant être restauré ou liste tous les comptes de base de données pouvant être restaurés
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Can perform restore action for Cosmos DB database account with continuous backup mode",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5432c526-bc82-444a-b7ba-57c5b0b5b34f",
  "name": "5432c526-bc82-444a-b7ba-57c5b0b5b34f",
  "permissions": [
    {
      "actions": [
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/restore/action",
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/*/read",
        "Microsoft.DocumentDB/locations/restorableDatabaseAccounts/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "CosmosRestoreOperator",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur de compte DocumentDB

Gérer des comptes Azure Cosmos DB. Azure Cosmos DB était auparavant appelé DocumentDB.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.DocumentDb/databaseAccounts/* Créer et gérer des comptes Azure Cosmos DB
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Joint des ressources telles qu’un compte de stockage ou une base de données SQL à un sous-réseau. Impossible à alerter.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage DocumentDB accounts, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/5bd9cd88-fe45-4216-938b-f97437e15450",
  "name": "5bd9cd88-fe45-4216-938b-f97437e15450",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.DocumentDb/databaseAccounts/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "DocumentDB Account Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Rôle de sauvegarde de rétention à long terme du serveur flexible PostgreSQL

Rôle permettant au coffre de sauvegarde d’accéder aux API de ressources du serveur flexible PostgreSQL pour la sauvegarde de rétention à long terme.

En savoir plus

Actions Description
Microsoft.DBforPostgreSQL/flexibleServers/ltrBackupOperations/read Retourne la liste du suivi des opérations de sauvegarde à long terme du serveur PostgreSQL.
Microsoft.DBforPostgreSQL/flexibleServers/ltrPreBackup/action Vérifie si un serveur est prêt pour une sauvegarde à long terme
Microsoft.DBforPostgreSQL/flexibleServers/startLtrBackup/action Démarrer une sauvegarde à long terme pour un serveur
Microsoft.DBforPostgreSQL/locations/azureAsyncOperation/read Retourne les résultats de l’opération serveur PostgreSQL
Microsoft.DBforPostgreSQL/locations/operationResults/read Retourne les résultats de l’opération serveur PostgreSQL
Microsoft.Resources/subscriptions/read Obtient la liste des abonnements.
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Role to allow backup vault to access PostgreSQL Flexible Server Resource APIs for Long Term Retention Backup.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/c088a766-074b-43ba-90d4-1fb21feae531",
  "name": "c088a766-074b-43ba-90d4-1fb21feae531",
  "permissions": [
    {
      "actions": [
        "Microsoft.DBforPostgreSQL/flexibleServers/ltrBackupOperations/read",
        "Microsoft.DBforPostgreSQL/flexibleServers/ltrPreBackup/action",
        "Microsoft.DBforPostgreSQL/flexibleServers/startLtrBackup/action",
        "Microsoft.DBforPostgreSQL/locations/azureAsyncOperation/read",
        "Microsoft.DBforPostgreSQL/locations/operationResults/read",
        "Microsoft.Resources/subscriptions/read",
        "Microsoft.Resources/subscriptions/resourceGroups/read"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "PostgreSQL Flexible Server Long Term Retention Backup Role",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur Cache Redis

Permet de gérer des caches Redis, mais pas d’y accéder.

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Cache/register/action Inscrit le fournisseur de ressources « Microsoft.Cache » à un abonnement
Microsoft.Cache/redis/* Créer et gérer les caches Redis
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Support/* Créer et mettre à jour un ticket de support
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage Redis caches, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/e0f68234-74aa-48ed-b826-c38b57376e17",
  "name": "e0f68234-74aa-48ed-b826-c38b57376e17",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Cache/register/action",
        "Microsoft.Cache/redis/*",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Support/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "Redis Cache Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur de base de données SQL

Permet de gérer des bases de données SQL, mais pas d’y accéder. Vous ne pouvez pas non plus gérer leurs stratégies de sécurité ni leurs serveurs SQL parents.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Sql/locations/*/read
Microsoft.Sql/servers/databases/* Créer et gérer des bases de données SQL
Microsoft.Sql/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.Insights/metrics/read Lire des mesures
Microsoft.Insights/metricDefinitions/read Lire les définitions des mesures
NotActions
Microsoft.Sql/servers/databases/ledgerDigestUploads/write Active le chargement des synthèses de registre
Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action Désactive le chargement des synthèses de registre
Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/auditingSettings/* Modifier les paramètres d'audit
Microsoft.Sql/servers/databases/auditRecords/read Récupère les enregistrements d’audit d’objet blob de base de données.
Microsoft.Sql/servers/databases/currentSensitivityLabels/*
Microsoft.Sql/servers/databases/dataMaskingPolicies/* Modifier les stratégies de masquage des données
Microsoft.Sql/servers/databases/extendedAuditingSettings/*
Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/securityAlertPolicies/* Modifier les stratégies d'alerte de sécurité
Microsoft.Sql/servers/databases/securityMetrics/* Modifier les mesures de sécurité
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/vulnerabilityAssessments/*
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage SQL databases, but not access to them. Also, you can't manage their security-related policies or their parent SQL servers.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
  "name": "9b7fa17d-e63e-47b0-bb0a-15c516ac86ec",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Sql/locations/*/read",
        "Microsoft.Sql/servers/databases/*",
        "Microsoft.Sql/servers/read",
        "Microsoft.Support/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read"
      ],
      "notActions": [
        "Microsoft.Sql/servers/databases/ledgerDigestUploads/write",
        "Microsoft.Sql/servers/databases/ledgerDigestUploads/disable/action",
        "Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditRecords/read",
        "Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
        "Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
        "Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/securityAlertPolicies/*",
        "Microsoft.Sql/servers/databases/securityMetrics/*",
        "Microsoft.Sql/servers/databases/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
        "Microsoft.Sql/servers/vulnerabilityAssessments/*"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL DB Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur de SQL Managed Instance

Permet de gérer des instances SQL Managed Instance et la configuration réseau requise, mais pas d’accorder l’accès à d’autres personnes.

Actions Description
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Network/networkSecurityGroups/*
Microsoft.Network/routeTables/*
Microsoft.Sql/locations/*/read
Microsoft.Sql/locations/instanceFailoverGroups/*
Microsoft.Sql/managedInstances/*
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.Network/virtualNetworks/subnets/*
Microsoft.Network/virtualNetworks/*
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Insights/metrics/read Lire des mesures
Microsoft.Insights/metricDefinitions/read Lire les définitions des mesures
NotActions
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete Supprime un objet d’authentification Azure Active Directory d’un serveur géré spécifique
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write Ajoute ou met à jour un objet d’authentification Azure Active Directory d’un serveur géré spécifique
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage SQL Managed Instances and required network configuration, but can't give access to others.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
  "name": "4939a1f6-9ae0-4e48-a1e0-f2cbe897382d",
  "permissions": [
    {
      "actions": [
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Network/networkSecurityGroups/*",
        "Microsoft.Network/routeTables/*",
        "Microsoft.Sql/locations/*/read",
        "Microsoft.Sql/locations/instanceFailoverGroups/*",
        "Microsoft.Sql/managedInstances/*",
        "Microsoft.Support/*",
        "Microsoft.Network/virtualNetworks/subnets/*",
        "Microsoft.Network/virtualNetworks/*",
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read"
      ],
      "notActions": [
        "Microsoft.Sql/managedInstances/azureADOnlyAuthentications/delete",
        "Microsoft.Sql/managedInstances/azureADOnlyAuthentications/write"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL Managed Instance Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Gestionnaire de sécurité SQL

Permet de gérer les stratégies de sécurité des serveurs et bases de données SQL, mais pas d’y accéder.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action Joint des ressources telles qu’un compte de stockage ou une base de données SQL à un sous-réseau. Impossible à alerter.
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Sql/locations/administratorAzureAsyncOperation/read Obtient le résultat des opérations de l’administrateur Azure Async de l’instance gérée.
Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read Récupérer une liste des paramètres Advanced Threat Protection d’une instance managée configurés pour une instance donnée
Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write Modifier les paramètres Advanced Threat Protection de l’instance managée pour une instance managée donnée
Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read Récupérer la liste des paramètres Advanced Threat Protection de la base de données managée configurés pour une base de données managée en particulier
Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write Modifier les paramètres Advanced Threat Protection de la base de données pour une base de données en particulier
Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read Récupérer une liste des paramètres Advanced Threat Protection d’une instance managée configurés pour une instance donnée
Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write Modifier les paramètres Advanced Threat Protection de l’instance managée pour une instance managée donnée
Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read Récupérer la liste des paramètres Advanced Threat Protection de la base de données managée configurés pour une base de données managée en particulier
Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write Modifier les paramètres Advanced Threat Protection de la base de données pour une base de données en particulier
Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/advancedThreatProtectionSettings/read Récupère la liste des paramètres de détection avancée des menaces du serveur configurés pour un serveur donné
Microsoft.Sql/servers/advancedThreatProtectionSettings/write Modifie les paramètres avancés de protection contre les menaces du serveur pour un serveur donné
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/transparentDataEncryption/*
Microsoft.Sql/managedInstances/vulnerabilityAssessments/*
Microsoft.Sql/managedInstances/serverConfigurationOptions/read Obtient les propriétés de l’option de configuration de serveur Azure SQL Managed Instance spécifiée.
Microsoft.Sql/managedInstances/serverConfigurationOptions/write Met à jour les propriétés de l’option de configuration de serveur d’Azure SQL Managed Instance pour l’instance spécifiée.
Microsoft.Sql/locations/serverConfigurationOptionAzureAsyncOperation/read Obtient l’état de l’opération asynchrone Azure SQL Managed Instance Server Configuration Option Azure.
Microsoft.Sql/servers/advancedThreatProtectionSettings/read Récupère la liste des paramètres de détection avancée des menaces du serveur configurés pour un serveur donné
Microsoft.Sql/servers/advancedThreatProtectionSettings/write Modifie les paramètres avancés de protection contre les menaces du serveur pour un serveur donné
Microsoft.Sql/servers/auditingSettings/* Créer et gérer les paramètres d’audit de serveur SQL
Microsoft.Sql/servers/extendedAuditingSettings/read Récupère les détails de la stratégie étendue d’audit des objets blob de serveur configurée sur un serveur spécifié
Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read Récupère la liste des paramètres de détection avancée des menaces de la base de données configurés pour une base de données donnée
Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write Modifie les paramètres avancés de protection contre les menaces de la base de données pour une base de données donnée
Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read Récupère la liste des paramètres de détection avancée des menaces de la base de données configurés pour une base de données donnée
Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write Modifie les paramètres avancés de protection contre les menaces de la base de données pour une base de données donnée
Microsoft.Sql/servers/databases/auditingSettings/* Créer et gérer les paramètres d’audit de base de données de serveur SQL
Microsoft.Sql/servers/databases/auditRecords/read Récupère les enregistrements d’audit d’objet blob de base de données.
Microsoft.Sql/servers/databases/currentSensitivityLabels/*
Microsoft.Sql/servers/databases/dataMaskingPolicies/* Créer et gérer les stratégies de masquage de données de base de données de serveur SQL
Microsoft.Sql/servers/databases/extendedAuditingSettings/read Récupère les détails de la stratégie étendue d’audit d’objets blob configurée dans une base de données spécifique
Microsoft.Sql/servers/databases/read Retourner la liste des bases de données ou obtenir les propriétés pour la base de données spécifiée.
Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/read Obtenir un schéma de base de données.
Microsoft.Sql/servers/databases/schemas/tables/columns/read Obtenir une colonne de base de données.
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/read Obtenir un tableau de base de données.
Microsoft.Sql/servers/databases/securityAlertPolicies/* Créer et gérer les stratégies d’alerte de sécurité de base de données de serveur SQL
Microsoft.Sql/servers/databases/securityMetrics/* Créer et gérer les mesures de sécurité de base de données de serveur SQL
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/transparentDataEncryption/*
Microsoft.Sql/servers/databases/sqlvulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/devOpsAuditingSettings/*
Microsoft.Sql/servers/firewallRules/*
Microsoft.Sql/servers/read Retourner la liste des serveurs ou obtenir les propriétés pour le serveur spécifié.
Microsoft.Sql/servers/securityAlertPolicies/* Créer et gérer les stratégies d’alerte de sécurité de serveur SQL
Microsoft.Sql/servers/sqlvulnerabilityAssessments/*
Microsoft.Sql/servers/vulnerabilityAssessments/*
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.Sql/servers/azureADOnlyAuthentications/*
Microsoft.Sql/managedInstances/read Retourne la liste des instances gérées ou obtient les propriétés de l’instance gérée spécifiée.
Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*
Microsoft.Security/sqlVulnerabilityAssessments/*
Microsoft.Sql/managedInstances/administrators/read Obtient la liste des administrateurs de l’instance gérée.
Microsoft.Sql/servers/administrators/read Obtient un objet d’administrateur Azure Active Directory spécifique
Microsoft.Sql/servers/databases/ledgerDigestUploads/*
Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read Obtient les opérations en cours des paramètres de chargement de la synthèse du registre
Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read Obtient les opérations en cours des paramètres de chargement de la synthèse du registre
Microsoft.Sql/servers/externalPolicyBasedAuthorizations/*
NotActions
aucune
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage the security-related policies of SQL servers and databases, but not access to them.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/056cd41c-7e88-42e1-933e-88ba6a50c9c3",
  "name": "056cd41c-7e88-42e1-933e-88ba6a50c9c3",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.Network/virtualNetworks/subnets/joinViaServiceEndpoint/action",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Sql/locations/administratorAzureAsyncOperation/read",
        "Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/managedInstances/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/managedInstances/databases/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/servers/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/managedInstances/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/transparentDataEncryption/*",
        "Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/serverConfigurationOptions/read",
        "Microsoft.Sql/managedInstances/serverConfigurationOptions/write",
        "Microsoft.Sql/locations/serverConfigurationOptionAzureAsyncOperation/read",
        "Microsoft.Sql/servers/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/servers/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/servers/auditingSettings/*",
        "Microsoft.Sql/servers/extendedAuditingSettings/read",
        "Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/read",
        "Microsoft.Sql/servers/databases/advancedThreatProtectionSettings/write",
        "Microsoft.Sql/servers/databases/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditRecords/read",
        "Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
        "Microsoft.Sql/servers/databases/extendedAuditingSettings/read",
        "Microsoft.Sql/servers/databases/read",
        "Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/read",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/read",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/tables/read",
        "Microsoft.Sql/servers/databases/securityAlertPolicies/*",
        "Microsoft.Sql/servers/databases/securityMetrics/*",
        "Microsoft.Sql/servers/databases/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/transparentDataEncryption/*",
        "Microsoft.Sql/servers/databases/sqlvulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
        "Microsoft.Sql/servers/devOpsAuditingSettings/*",
        "Microsoft.Sql/servers/firewallRules/*",
        "Microsoft.Sql/servers/read",
        "Microsoft.Sql/servers/securityAlertPolicies/*",
        "Microsoft.Sql/servers/sqlvulnerabilityAssessments/*",
        "Microsoft.Sql/servers/vulnerabilityAssessments/*",
        "Microsoft.Support/*",
        "Microsoft.Sql/servers/azureADOnlyAuthentications/*",
        "Microsoft.Sql/managedInstances/read",
        "Microsoft.Sql/managedInstances/azureADOnlyAuthentications/*",
        "Microsoft.Security/sqlVulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/administrators/read",
        "Microsoft.Sql/servers/administrators/read",
        "Microsoft.Sql/servers/databases/ledgerDigestUploads/*",
        "Microsoft.Sql/locations/ledgerDigestUploadsAzureAsyncOperation/read",
        "Microsoft.Sql/locations/ledgerDigestUploadsOperationResults/read",
        "Microsoft.Sql/servers/externalPolicyBasedAuthorizations/*"
      ],
      "notActions": [],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL Security Manager",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Contributeur SQL Server

Permet de gérer des serveurs et bases de données SQL, mais pas d’y accéder, ni de gérer leurs stratégies de sécurité.

En savoir plus

Actions Description
Microsoft.Authorization/*/read Lire les rôles et les affectations de rôles
Microsoft.Insights/alertRules/* Créer et gérer une alerte de métrique classique
Microsoft.ResourceHealth/availabilityStatuses/read Obtient les états de disponibilité de toutes les ressources dans l’étendue spécifiée.
Microsoft.Resources/deployments/* Créer et gérer un déploiement
Microsoft.Resources/subscriptions/resourceGroups/read Obtient ou répertorie les groupes de ressources.
Microsoft.Sql/locations/*/read
Microsoft.Sql/servers/* Créer et gérer les serveurs SQL
Microsoft.Support/* Créer et mettre à jour un ticket de support
Microsoft.Insights/metrics/read Lire des mesures
Microsoft.Insights/metricDefinitions/read Lire les définitions des mesures
NotActions
Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*
Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*
Microsoft.Sql/managedInstances/databases/sensitivityLabels/*
Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*
Microsoft.Sql/managedInstances/securityAlertPolicies/*
Microsoft.Sql/managedInstances/vulnerabilityAssessments/*
Microsoft.Sql/servers/auditingSettings/* Modifier les paramètres d'audit d'un serveur SQL
Microsoft.Sql/servers/databases/auditingSettings/* Modifier les paramètres d'audit d'une base de données de serveur SQL
Microsoft.Sql/servers/databases/auditRecords/read Récupère les enregistrements d’audit d’objet blob de base de données.
Microsoft.Sql/servers/databases/currentSensitivityLabels/*
Microsoft.Sql/servers/databases/dataMaskingPolicies/* Modifier les stratégies de masquage de données d'une base de données de serveur SQL
Microsoft.Sql/servers/databases/extendedAuditingSettings/*
Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*
Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*
Microsoft.Sql/servers/databases/securityAlertPolicies/* Modifier les stratégies d'alerte de sécurité d'une base de données de serveur SQL
Microsoft.Sql/servers/databases/securityMetrics/* Modifier les mesures de sécurité d'une base de données de serveur SQL
Microsoft.Sql/servers/databases/sensitivityLabels/*
Microsoft.Sql/servers/databases/vulnerabilityAssessments/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*
Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*
Microsoft.Sql/servers/devOpsAuditingSettings/*
Microsoft.Sql/servers/extendedAuditingSettings/*
Microsoft.Sql/servers/securityAlertPolicies/* Modifier les stratégies d'alerte de sécurité du serveur SQL
Microsoft.Sql/servers/vulnerabilityAssessments/*
Microsoft.Sql/servers/azureADOnlyAuthentications/delete Supprime l’objet d’authentification Azure Active Directory d’un serveur spécifique
Microsoft.Sql/servers/azureADOnlyAuthentications/write Lit ou met à jour l’objet d’authentification Azure Active Directory d’un serveur spécifique
Microsoft.Sql/servers/externalPolicyBasedAuthorizations/delete Supprime une propriété d’autorisation basée sur une stratégie externe de serveur spécifique
Microsoft.Sql/servers/externalPolicyBasedAuthorizations/write Ajoute ou met à jour une propriété d’autorisation basée sur une stratégie externe de serveur spécifique
DataActions
aucune
NotDataActions
aucune
{
  "assignableScopes": [
    "/"
  ],
  "description": "Lets you manage SQL servers and databases, but not access to them, and not their security -related policies.",
  "id": "/providers/Microsoft.Authorization/roleDefinitions/6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
  "name": "6d8ee4ec-f05a-4a1d-8b00-a9b17e38b437",
  "permissions": [
    {
      "actions": [
        "Microsoft.Authorization/*/read",
        "Microsoft.Insights/alertRules/*",
        "Microsoft.ResourceHealth/availabilityStatuses/read",
        "Microsoft.Resources/deployments/*",
        "Microsoft.Resources/subscriptions/resourceGroups/read",
        "Microsoft.Sql/locations/*/read",
        "Microsoft.Sql/servers/*",
        "Microsoft.Support/*",
        "Microsoft.Insights/metrics/read",
        "Microsoft.Insights/metricDefinitions/read"
      ],
      "notActions": [
        "Microsoft.Sql/managedInstances/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/databases/sensitivityLabels/*",
        "Microsoft.Sql/managedInstances/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/managedInstances/securityAlertPolicies/*",
        "Microsoft.Sql/managedInstances/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditingSettings/*",
        "Microsoft.Sql/servers/databases/auditRecords/read",
        "Microsoft.Sql/servers/databases/currentSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/dataMaskingPolicies/*",
        "Microsoft.Sql/servers/databases/extendedAuditingSettings/*",
        "Microsoft.Sql/servers/databases/recommendedSensitivityLabels/*",
        "Microsoft.Sql/servers/databases/schemas/tables/columns/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/securityAlertPolicies/*",
        "Microsoft.Sql/servers/databases/securityMetrics/*",
        "Microsoft.Sql/servers/databases/sensitivityLabels/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentScans/*",
        "Microsoft.Sql/servers/databases/vulnerabilityAssessmentSettings/*",
        "Microsoft.Sql/servers/devOpsAuditingSettings/*",
        "Microsoft.Sql/servers/extendedAuditingSettings/*",
        "Microsoft.Sql/servers/securityAlertPolicies/*",
        "Microsoft.Sql/servers/vulnerabilityAssessments/*",
        "Microsoft.Sql/servers/azureADOnlyAuthentications/delete",
        "Microsoft.Sql/servers/azureADOnlyAuthentications/write",
        "Microsoft.Sql/servers/externalPolicyBasedAuthorizations/delete",
        "Microsoft.Sql/servers/externalPolicyBasedAuthorizations/write"
      ],
      "dataActions": [],
      "notDataActions": []
    }
  ],
  "roleName": "SQL Server Contributor",
  "roleType": "BuiltInRole",
  "type": "Microsoft.Authorization/roleDefinitions"
}

Étapes suivantes